Els problemes de privadesa de dades i la normativa corresponent són alguns dels reptes més grans als quals s'enfronten les empreses avui dia. Tot i que les empreses afectades pel GDPR han sentit l'onada inicial de multes, requisits i estàndards, la privadesa és ara un problema internacional.
Els EUA ja han començat a avançar cap a una regulació revolucionària de la privadesa. Amb les lleis aprovades a Califòrnia i Nevada i projectes de llei planificats a molts altres estats, les empreses haurien d'esperar que es veuran afectades en els propers mesos.
Aquest article desglossa les parts crucials de la llei/projecte de llei de regulació de la privadesa de cada estat, incloent-hi qui cobreixen, quan entren en vigor, les sancions, com aconseguir el compliment i per què els estats van prendre les mesures davant el govern federal per protegir les dades personals dels consumidors.
Llei de privadesa del consumidor de Califòrnia
Com a una de les primeres lleis de privadesa aprovades després del GDPR, la CCPA actua com a model per a altres factures als EUA. A partir de l'1 de gener de 2020, la CCPA s'aplica a una empresa que recull/processa dades personals dels residents de Califòrnia o fa negocis a Califòrnia. Aquestes empreses estan subjectes a la CCPA si:
Superar els ingressos bruts de 25 milions de dòlars
Comprar, rebre, vendre o compartir (total combinat) informació personal de 50.000 o més llars o dispositius de consumidors
Obteniu el 50% o més dels ingressos anuals amb la venda d'informació personal del consumidor
La CCPA concedeix als consumidors drets similars al GDPR, inclosa la divulgació d'informació personal i les sol·licituds de dades personals. Les empreses han de respondre a les sol·licituds verificables dels consumidors amb informació, com ara categories i dades d'informació personal, tercers i categories de tercers amb els quals es comparteixen les dades, entre d'altres.
La secció, coneguda com a Sol·licituds del subjecte de dades (DSR) permet als usuaris accedir a opcions d'eliminació de la seva informació personal. A més, la CCPA requereix que les empreses mostrin un enllaç "No venguis la meva informació personal" a la seva pàgina d'inici. El fiscal general farà complir la CCPA i inclou multes de fins a 7.500 dòlars per cada infracció individual.
Llei de privadesa de Nevada
La llei de privadesa de Nevada es va signar el 29 de maig de 2019 i es va fer efectiva l'1 d'octubre de 2019, tres mesos abans de la més coneguda CCPA. Les lleis són molt semblants però tenen una diferència important en com es defineix la "venda". La llei de Nevada és més limitada, no cobreix tots els proveïdors de serveis i és més indulgent amb les institucions financeres. Segons InfoLawGroup, la llei CCPA i Nevada són similars perquè totes dues exigeixen que "les empreses elaborin un procés per verificar la legitimitat d'una sol·licitud de desistiment del consumidor i requereixen que les empreses responguin a la sol·licitud en un termini de 60 dies". De manera similar a Califòrnia, l'aplicació de Nevada recau en el fiscal general i inclou multes de fins a 5.000 dòlars per infracció.
La llei de privadesa de Nova York
El maig de 2019, el senador de l'estat de Nova York Kevin Thomas va presentar un dels projectes de llei més revolucionaris en matèria de privadesa de dades. Els requisits eren estàndard i incloïen la capacitat dels residents d'accedir, corregir, eliminar i conservar les seves dades personals de tercers.
No obstant això, s'hi van afegir disposicions més àmplies, com ara les obligacions amb els fiduciaris de dades i el dret dels residents a presentar una demanda contra les empreses si resulten lesionades per una infracció. Aquest dret d'acció privat és un dels punts de separació més importants d'altres normatives i podria incentivar els consumidors a perseguir les empreses que no compleixen. El projecte de llei també és més ampli que el CCPA, i cobreix qualsevol empresa que tingui "dades sensibles dels residents de Nova York", sense cap requisit d'ingressos per a les entitats cobertes.
Amb lleis aprovades en dos estats, projectes de llei proposats en d'altres i nou estats aprovant noves lleis de notificació d'infraccions de dades, assistim a l'inici d'un canvi massiu cap a la protecció de les dades dels consumidors i la responsabilitat de les empreses que les controlen i processen.
Per mantenir el compliment, les empreses han de conèixer les lleis actuals, les futures regulacions en obres i el potencial de diferents estàndards als EUA. La creació de processos per al maneig de dades, la portabilitat i el mapeig de dades i els controls d'activació dels usuaris són algunes de les pràctiques necessàries per a les empreses que recullen dades personals.